我在 AKS 群集前面有一个 Azure 应用程序网关。群集具有通过内部负载均衡器发布的一些内部 IP 地址,因此 IP 地址来自群集所在的子网。
我已经在网关的子网上定义了一个网络安全组,并且能够使用通配符拒绝/允许所有到内部 IP 地址的流量。
但是,我想更精细地控制流量,我想允许一个外部 IP 访问网关的某个后端池,另一个外部 IP 访问另一个后端池。我尝试在目标中使用内部负载均衡器 IP,但似乎不起作用。事实上,我不知道传入流量的目标 IP 是什么,因为当我将网关的 IP 作为目标时,我甚至无法阻止传入流量,只有当我使用 * 时,我才能阻止所有传入流量。
我可以通过使用多个网关来解决这个问题,但这很快就会变得昂贵。
答案1
不,您无法使用 NSG 执行此操作(除非您使用多个网关)。您可能能够使用某些防火墙设备执行此操作。